Usurpation DNS
Qu'est-ce que Usurpation DNS ?
Usurpation DNSAttaque qui injecte des réponses DNS falsifiées pour rediriger les victimes d'un domaine légitime vers une adresse IP contrôlée par l'attaquant.
L'usurpation DNS manipule le processus de résolution du Domain Name System afin qu'une requête pour un nom d'hôte légitime renvoie une adresse IP choisie par l'attaquant. Elle peut être réalisée en altérant les fichiers hosts, en interceptant le trafic du résolveur, en exploitant des identifiants de transaction faibles ou en empoisonnant le cache des résolveurs récursifs. Une fois la victime redirigée, les attaquants récoltent des identifiants, distribuent des malwares ou réalisent une interception de type man-in-the-middle des sessions TLS à l'aide de certificats frauduleux.
La technique classique est l'attaque par empoisonnement de cache de Dan Kaminsky en 2008. Comme les résolveurs hérités authentifiaient les réponses uniquement à l'aide d'un identifiant de transaction de 16 bits, un attaquant hors chemin pouvait inonder un résolveur de réponses falsifiées pour des sous-domaines aléatoires inexistants, gagnant la course contre le véritable serveur faisant autorité et injectant un enregistrement NS empoisonné pour l'ensemble du domaine. Le correctif, normalisé dans la RFC 5452, a ajouté la randomisation du port source — transformant un espace de recherche d'environ 65 000 valeurs en des milliards de combinaisons. Une protection plus forte provient de DNSSEC (RFC 4033–4035), qui signe cryptographiquement les enregistrements afin que les résolveurs puissent rejeter les réponses falsifiées, ainsi que du transport chiffré comme DoH (RFC 8484) et DoT (RFC 7858), qui empêche l'altération sur le chemin sur les Wi-Fi partagés.
sequenceDiagram participant V as Victime participant R as Resolveur participant A as Attaquant participant N as Vrai serveur de noms V->>R: Requete bank.example ? R->>N: Resolution recursive A-->>R: Reponse falsifiee avec TXID/port devines -> IP attaquant N-->>R: Reponse authentique arrivee trop tard R-->>V: Reponse empoisonnee mise en cache V->>A: Connexion vers l IP de l attaquant
Les défenses incluent la validation DNSSEC, le transport chiffré (DoH/DoT), la randomisation des ports source et des identifiants de transaction, le durcissement des résolveurs et la supervision des schémas de résolution anormaux.
● Exemples
- 01
Réponses falsifiées redirigeant le domaine bancaire vers une page de phishing.
- 02
Attaquant sur Wi-Fi ouvert répondant aux requêtes DNS avant le résolveur légitime.
● Questions fréquentes
Qu'est-ce que Usurpation DNS ?
Attaque qui injecte des réponses DNS falsifiées pour rediriger les victimes d'un domaine légitime vers une adresse IP contrôlée par l'attaquant. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Usurpation DNS ?
Attaque qui injecte des réponses DNS falsifiées pour rediriger les victimes d'un domaine légitime vers une adresse IP contrôlée par l'attaquant.
Comment se défendre contre Usurpation DNS ?
Les défenses contre Usurpation DNS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Usurpation DNS ?
Noms alternatifs courants : Falsification DNS.